Dabei gehe es derzeit darum, in Computernetze einzudringen und Informationen zu sammeln, erklärte die Sicherheitssoftwarefirma Symantec. Die Hacker seien in Netze von 20 Unternehmen in den USA, 6 in der Türkei und eines Branchenzulieferers in der Schweiz eingedrungen. Auch Kraftwerke in Deutschland, Frankreich, den Niederlanden und Belgien seien dabei ins Visier geraten, Symantec habe aber in diesen Ländern keine erfolgreichen Angriffe entdeckt.

Die Angreifer hätten in einigen Fällen Screenshots von der Steuersoftware der Industrieanlagen angefertigt, um sie zu studieren. Unter anderem dadurch seien die Angreifer dem Ziel näher gekommen, die Kontrolle über die Anlagen zu übernehmen, sagte Symantec-Forscher Candid Wüest der Deutschen Presse-Agentur. "Zum anderen haben wir gesehen, dass gezielt Dokumente abgeschöpft wurden." Es sei davon auszugehen, dass unter den PDF- und Word-Dateien auch Aufbaupläne für einzelne Komponenten seien. "Das ermöglicht jetzt, mit diesem Wissen einen nächsten Angriff besser vorzubereiten, selbst wenn die Passwörter geändert wurden." Symantec habe dabei keine Angriffe auf Atomkraftwerke festgestellt.

"Wir sehen, dass die wahrscheinlichsten Ziele Fernzugriff und Sabotage sind", sagte Wüest zum Vorgehen der Angreifer. "Wir gehen nicht davon aus, dass es sich hier um Industriespionage handelt." In den bisher bekannten Fällen war es Hackern 2015 und 2016 zwei Mal gelungen, Kraftwerke in der Ukraine zu stören.

Die Gruppe, die derzeit in die Netze der Kraftwerke einzudringen versucht, ist laut Symantec bereits seit 2011 aktiv und wird unter dem Namen "Dragonfly" geführt. Die Sicherheitsforscher legen sich nicht auf die Herkunft der Gruppe fest. Im Softwarecode seien Fragmente auf Russisch und Französisch gefunden worden, das könnten aber auch falsche Fährten sein.

Die höhere Erfolgsquote in den USA und der Türkei liege daran, dass Anlagen in diesen Ländern besonders massiv angegriffen worden seien, sagte Wüest. "Wir sehen, dass ein direkter Fokus auf die Türkei und später auch Amerika gelegen hat." Da Symantec nicht alle Energieunternehmen als Kunden habe, sei davon auszugehen, dass zwei oder drei Mal mehr Firmen von den Attacken betroffen seien.

Industrieanlagen in Kraftwerken werden zwar grundsätzlich vom Internet getrennt, um die Gefahr von Online-Angriffen gering zu halten. "Aber es gibt auch immer mehr Wind- und Wasserkraftwerke, die sehr wohl am Internet hängen, allein damit alles zentral gesteuert werden kann", betonte der Symantec-Experte. Gleichzeitig helfe es potenziellen Angreifern selbst bei vom Internet isolierten Systemen, deren Bestandteile und Aufbau zu kennen.

Die Angriffe hätten im Mai 2017 einen Höchststand erreicht und seien danach etwas zurückgegangen, die Hacker seien aber bis zuletzt aktiv gewesen. "Für uns legt das nahe, dass die ganze Aktion noch nicht beendet und vielleicht erst in der Vorbereitungsphase ist", sagte Wüest.